Aanvallers misbruiken het ontwikkelplatform voor bedrijfsapplicaties Google Apps Script voor het stelen van creditcardgegevens die zijn verstrekt door klanten van e-commercewebsites bij het doen van online aankopen.
Dit meldde beveiligingsonderzoeker Eric Brandel, die dit ontdekte tijdens het analyseren van vroege detectiegegevens van Sansec, een cyberbeveiligingsbedrijf dat gespecialiseerd is in het bestrijden van digitaal scannen.
Hackers gebruiken het domein script.google.com voor hun doeleinden en verbergen zo met succes hun kwaadaardige activiteiten voor beveiligingsoplossingen en omzeilen het Content Security Policy (CSP). Feit is dat online winkels het Google Apps Script-domein doorgaans als betrouwbaar beschouwen en vaak alle Google-subdomeinen op de witte lijst zetten.
Brandel zegt dat hij een web skimmer-script heeft gevonden dat door aanvallers op de websites van webwinkels is geïntroduceerd. Net als elk ander MageCart-script onderschept het de betalingsgegevens van gebruikers.
Wat dit script anders maakte dan andere vergelijkbare oplossingen, was dat alle gestolen betalingsinformatie als base64-gecodeerde JSON naar Google Apps Script werd verzonden en dat het script [.] Google [.] Com-domein werd gebruikt om de gestolen gegevens te extraheren. Pas daarna werd de informatie overgebracht naar het door de aanvaller gecontroleerde domein analit [.] Tech.
"Het kwaadaardige domein analit [.] Tech werd op dezelfde dag geregistreerd als de eerder gedetecteerde kwaadaardige domeinen hotjar [.] Host en pixelm [.] Tech, die op hetzelfde netwerk worden gehost", merkt de onderzoeker op.
Het moet gezegd dat het niet de eerste keer is dat hackers misbruik maken van Google-diensten in het algemeen en Google Apps Script in het bijzonder. Zo werd in 2017 bekend dat de Carbanak-groep Google-diensten (Google Apps Script, Google Sheets en Google Forms) gebruikt als basis voor haar C&C-infrastructuur. Eveneens in 2020 werd gemeld dat het Google Analytics-platform ook wordt misbruikt voor aanvallen van het type MageCart.
Lees ook: